这个漏洞可以直接在系统public目录写入小刀,然后导入大刀,进而提权什么的。 这个是被写入的大刀,
最好的修复方法就是直接升级至最新版的框架了, 但是系统较多地方用到了exp 写法,先只能临时修复一下。
2018年12月10日,阿里云云盾应急响应中心监测到ThinkPHP官方发布安全更新,披露了一个高危安全漏洞,由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,攻击者构造特定的恶意请求,可以直接获取服务器权限。受影响的版本包括5.0和5.1版本。当前这个漏洞影响ThinkPHP <=5.0.22版本。
在think\\App类的module方法的获取控制器的代码后面加上
if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
throw new HttpException(404, 'controller not exists:' . $controller);
}
由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell。
ThinkPHP 5.0系列 < 5.0.24
修复方法1.打开
\thinkphp\library\think\Request.php
搜索:
public function method($method = false)
{
xxxx
}
改成:
public function method($method = false)
{
if (true === $method) {
// 获取原始请求类型
return $this->server('REQUEST_METHOD') ?: 'GET';
} elseif (!$this->method) {
if (isset($_POST[Config::get('var_method')])) {
$method = strtoupper($_POST[Config::get('var_method')]);
if (in_array($method, ['GET', 'POST', 'DELETE', 'PUT', 'PATCH'])) {
$this->method = $method;
$this->{$this->method}($_POST);
} else {
$this->method = 'POST';
}
unset($_POST[Config::get('var_method')]);
} elseif (isset($_SERVER['HTTP_X_HTTP_METHOD_OVERRIDE'])) {
$this->method = strtoupper($_SERVER['HTTP_X_HTTP_METHOD_OVERRIDE']);
} else {
$this->method = $this->server('REQUEST_METHOD') ?: 'GET';
}
}
return $this->method;
}
1
CloudMx 2019-02-15 09:51:39 +08:00
报警,立案。
|
2
CallMeReznov 2019-02-15 09:51:53 +08:00
报警并冻结
这几年对这块打击很严,可能会被当成重点案件追查! |
3
datou 2019-02-15 09:54:20 +08:00
提到阿里呸....
弱智么? |
4
kokutou 2019-02-15 09:54:48 +08:00 via Android
报警啊,这种案件算业绩的吧,应该还不小,肯定抢着办案。
|
5
oneonesv 2019-02-15 09:55:23 +08:00
提到支付宝怕不是傻子,查起来太容易
|
6
mytsing520 2019-02-15 09:55:30 +08:00
报警就行了
|
7
R18 2019-02-15 09:55:36 +08:00
可以以“盗窃罪”立案。金额较大。
我们年前被人提了 2500 金额不大不小的,很是难办。 |
8
LuffyGu 2019-02-15 09:57:57 +08:00
你们的项目是什么类型的?
|
9
4pmBaoZi 2019-02-15 10:04:04 +08:00
必须报警。但是我感觉很难追回,十几个支付宝账户,感觉是盗用他人的身份资料注册,大概率是团队的作案,网络犯罪团伙抓起来还是比较困难的
|
10
yongxa 2019-02-15 10:06:09 +08:00
大概是按照入侵计算机系统起诉,网警搞这种很快的.
|
11
zarte 2019-02-15 10:09:30 +08:00
顺便发下漏洞是啥和解决方法把。
|
12
closedevice 2019-02-15 10:20:32 +08:00
@4pmBaoZi 立案后侦查很快的,只有提到支付包的,整个交易流程都门清
|
13
luosuosile 2019-02-15 10:22:47 +08:00
支付宝。。
这个贼真的能称之为黑吗? 是你们公司那方面防御太弱了吧 |
14
cojing 2019-02-15 10:26:37 +08:00
ThinkPHP 5 RCE 吧,去年能刷出一大批,应该是小团伙或个人,直接报警
|
15
gam2046 2019-02-15 10:26:49 +08:00
以盗窃罪论处,目前来看,盗窃 2 万块钱,金额并不算很大。所以结果取决于警察叔叔是否具有主观能动性,只要他们想找,分分钟的事情。
至于钱能不能找回来随缘,只要没有被支付宝的风控拦截下来,一旦取现,找到人,钱也回不来。 最后,依然建议报警。 |
16
5200 OP @luosuosile 以前外包写的系统就一直没管,后面查询了下,thinkPHP 框架有这个远程执行漏洞,只要不是最新的框架都能轻松入侵。
|
17
zjsxwc 2019-02-15 10:27:44 +08:00
|
18
16t 2019-02-15 10:30:23 +08:00
转到支付宝就好查了,直接报警,支付宝提供实名信息就可以了。
|
19
realpg 2019-02-15 10:31:38 +08:00
thinkphp 日常操作
|
21
M4ster 2019-02-15 10:51:16 +08:00
对方敢这么肆无忌惮,项目合法吗?
|
22
cyclone 2019-02-15 11:03:59 +08:00
一般管 webshell 叫小马、大马,不叫大刀……刀是攻击方连接一句话木马的工具的名字
|
23
1nclude 2019-02-15 11:12:41 +08:00
TP 最近爆了好几个 RCE 漏洞,个人感觉还会有的,多关注一下然后及时补上吧
|
24
mmxd 2019-02-15 11:28:52 +08:00
不懂就问,小刀、大刀啥意思,还有小马、大马?
|
25
x86 2019-02-15 11:35:41 +08:00
年前还帮朋友拿了几个 p2p 的站
|
26
ymj123 2019-02-15 11:40:21 +08:00 via iPhone
@M4ster 你说起这个 我突然想起 健身房认识一老哥 他说他哥搭了个擦边球赌博网站 流水还挺大的 后面被别人黑了 访问不了 然后黑客跟他们说盈利分一成就不搞他们 他们也就答应了 然后黑客躺着赚钱 不知道真的假的
|
27
illl 2019-02-15 11:42:28 +08:00 via iPhone
我觉得支付宝应该会管这样的事吧
|
28
chalgon 2019-02-15 11:44:00 +08:00
直接报警!
|
31
davie 2019-02-15 12:20:25 +08:00 via Android
报警 找阿里
|
33
5200 OP @1nclude
公司就这两个项目外包写的用的是 PHP 框架,其他都是 Java 的,也没怎么关注这方面漏洞。去哪里能及时了解到这些漏洞呢? |
34
TheWalkingDead 2019-02-15 12:36:14 +08:00
稍微有点经验的作案者你都找不到滴。
身份证,银行卡全部都可以是别人的,怎么找。 |
35
5200 OP @TheWalkingDead 所以这个用户应该比较笨,用的支付宝都是某市的,而且是活人在用的支付宝账号,提现的 IP 地址也就那几个固定的。
|
36
gangsta 2019-02-15 13:00:39 +08:00
希望 LZ 及时可以把进展 append 到帖子下面
|
37
yzkcy 2019-02-15 13:03:42 +08:00
这种报警很容易就抓住了。
|
38
a1342751882 2019-02-15 13:03:47 +08:00 via Android
@R18 是被并发提现恶意提现得吗?
|
39
chinvo 2019-02-15 13:06:31 +08:00
@realpg #19 任何一个框架都不能完全杜绝安全隐患,TP 项目组也在第一时间修复了漏洞并且发了公告,开发者自己不更新,和关掉 Windows Update 中了 WannaCry 然后控告微软有啥区别?
|
40
R18 2019-02-15 13:06:39 +08:00
@a1342751882 是的,只做了事务没做锁。
|
41
JCZ2MkKb5S8ZX9pq 2019-02-15 13:11:29 +08:00
5000 以下好像很难啊,以前朋友被骗钱问过支付宝,骗子就要了 4500。
这 2w 分十几个账号,每个账号钱应该都不多,感觉对方还是有点经验的。 |
42
dko 2019-02-15 13:14:40 +08:00
诈骗罪、非法破坏计算机信息系统罪
去当地网安报警就好了 |
43
DAMNYOU 2019-02-15 13:22:15 +08:00
@oneonesv 又不是自己的实名账户,现在能干这行的,支付宝都是用买来的身份证和银行卡,而且人家也不需要提现出来,完全可以直接在网上消费掉,并且消费也不需要给自己,可以买各种资源,在其他第三方平台变现,除非动用大量的网警资源去排查,否则根本不会有结果,安心认亏
至于 lz 所说的 这人是个新手,我不好判断,但是我觉得 lz 如果能给个后续,我相信大概率就是追不回来的。 |
44
Geniusssssss 2019-02-15 13:26:26 +08:00
@datou 多个支付宝账号。。 黑产有买卖支付宝账号的 说白了 不是自己的支付宝 转手买个话费充值卡再转手充值其他平台再转手提现来回几次 到哪抓去 有多个支付宝已经证明有黑产渠道 洗白是非常容易地
|
45
Geniusssssss 2019-02-15 13:31:23 +08:00
反正楼主别想了 凉了 能做这个会用自己有关联的账号的几乎为 0 说别人新手 这种带脑子的怎么可能新手
|
46
yourimage 2019-02-15 14:10:38 +08:00
报警,支付宝沟通
|
47
tadtung 2019-02-15 14:20:50 +08:00 via Android
|
48
leonidas 2019-02-15 14:27:30 +08:00
表示报警一点用都没有 我朋友公司网站也被黑了 报警到现在一两年了 其中询问过几次有没处理进展 结果一点消息都没有
|
49
nfroot 2019-02-15 14:53:25 +08:00
@leonidas 只是黑一下网站线索太少。像楼主这种盗取金钱的,提现必然经过一系列操作才能达成,这里会与最终得益者慢慢关联起来。。。。
|
50
kely 2019-02-15 15:10:12 +08:00
我司在用 ThinkPHP 3.2.3 不知道有没有这个漏洞
|
52
idcspy 2019-02-15 15:29:25 +08:00
先自己社工一下再拿详细一点的信息报案。
|
53
doodle77 2019-02-15 16:01:57 +08:00
报警呗
|
55
log4geek 2019-02-15 16:25:40 +08:00
虽然支付宝有实名,但是他有十几个支付宝,很明显这堆名字不是盗窃者的。额度这么小的盗窃,实话说,警察未必会真的帮你去抓人。最多就给你个报案回执。。不要想太多了,只能认了。追回损失概率基本为 0.
|
56
jeffson 2019-02-15 17:17:54 +08:00
楼主发后续啊
|
57
opengps 2019-02-15 17:21:25 +08:00
必须报警立案侦查,虽然追不追的回是另一个问题,但是你只有报警了才有追回的可能
|
58
datou 2019-02-15 17:27:10 +08:00
@Geniusssssss 连坐就行了,阿里不是天天说打击黑产么?
|
59
yingfengi 2019-02-15 17:31:11 +08:00 via Android
提现到支付宝,一查一个准
|
61
AngryPanda 2019-02-15 17:36:53 +08:00
都说提现到支付宝,容易破案。其实不然。这些全都是买来的账号。
|
62
chinvo 2019-02-15 17:38:53 +08:00 via iPhone
另外看了一下,你这是把项目根目录当 web 根目录了,那么你要小心 cache 目录“可执行任意代码漏洞”,解决方案是把 web root 设为 public 目录
|
63
5200 OP |
64
c4tn 2019-02-15 18:25:55 +08:00
系统关机镜像备份,然后提取入侵证据和修改证据。
一般漏洞利用 和最后修改 为了保护可能存在识别特征。 踩点节点可能没有保护。 |
65
Asugar 2019-02-15 18:41:57 +08:00 via iPhone
问一下,没做等保,去报警会不会自己也会被处罚
|
67
dnsaq 2019-02-15 19:43:32 +08:00 via iPhone
用这个框架的都不关心官方更新, 还等着黑客来背锅???活该不解释
|
68
mmdsun 2019-02-15 19:47:28 +08:00 via Android
@mmxd 22 楼。“一般管 webshell 叫小马、大马,不叫大刀……刀是攻击方连接一句话木马的工具的名字”
|
69
hv3s1 2019-02-15 19:49:48 +08:00
可以去 google 去搜 某些大马中的关键字,有很多直接可以访问 webshell
|
70
runningman 2019-02-15 19:52:39 +08:00 via iPhone
还是抓紧修复吧 技不如人也没办法 被人搞走的更多 安心搞好安全吧
|
71
rekulas 2019-02-15 20:10:57 +08:00 1
https://github.com/del-xiong/screw-plus
额 如果担心源码有漏洞 可以考虑下这个框架 可以阻止非法代码执行 |
72
5200 OP @dnsaq
兄 Dei 为何你的回复都好大的戾气, 你那么多项目,对着一个外包做的项目,每天都去关注他们的官网嘛。 你家房子,哪天被小偷撬了偷光家里东西怪自己没升级门锁活该咯? @runningman 以前没用过 PHP 开发,不清楚这块东西的漏洞。现在是都修复了,后面考虑这块逻辑放其他项目里面了。 |
73
runningman 2019-02-15 20:58:49 +08:00
@5200 可以加微信聊聊 270115861
|
74
mdf3192078 2019-02-15 21:28:18 +08:00
报警吧,就看你运气如何了。
|
75
thuai 2019-02-15 22:35:54 +08:00
php 是最好的语言
|
76
jadeity 2019-02-15 23:01:08 +08:00
为什么这么多人报警都很犹豫呢?就算追不回来,案子在那立着,破案率的分母是会增加的,到一定程度就会严抓严打,对社会也是好事啊。
|
77
shenfeiyu 2019-02-16 09:15:49 +08:00
为了正义吗,也要报警呀!
钱看起来应该追不回来了吧! |
78
blurh11E27 2019-02-16 10:23:04 +08:00
我的 TP5 网站 被挂马了 清理了几次 还是 没清理干净 楼主用的什么工具 扫描这些 东西呢
|
79
CareiOS 2019-02-16 10:49:16 +08:00
我们的也被提现了 2K 多,发现的早。
|
80
w0nglend 2019-02-16 15:20:07 +08:00
web 目录不可写;可写目录不执行 PHP ;并且给 PHP 运行用户加上 iptables 策略?反正我们是这么对抗的
|
82
RealGM 2019-02-16 20:10:53 +08:00
支付宝和银行卡现在都是实名制 应该可以追回 要立刻报案以免受到更大损失!
|